จะบันทึกคำสั่ง Bash ทั้งหมดโดยผู้ใช้ทั้งหมดบนเซิร์ฟเวอร์ได้อย่างไร?

บริษัท ขนาดเล็กของเราใช้งาน Ubuntu Server 11.10 ซึ่งมีผู้ใช้สองคนที่สามารถเข้าถึง SSH ได้ เทอร์มินัลจริงบางครั้งก็ใช้เช่นกัน เราจะบันทึกการทำงานของคำสั่ง Bash แบบโลคัลพร้อมกับการประทับเวลาของผู้ใช้และผู้ใช้ได้อย่างไร

เราสามารถสันนิษฐานได้ว่าไม่มีใครชั่วร้ายและพยายามหลีกเลี่ยงการบันทึกอย่างแข็งขัน แต่เรายังต้องการให้ผู้ใช้ไม่ให้มีการเข้าถึงการเขียนโดยตรงไปยังไฟล์บันทึกของพวกเขา ต้องจัดการเซสชันพร้อมกันอย่างถูกต้อง

สำหรับเชลล์ BASH ให้แก้ไขไฟล์กำหนดค่า BASH runtime ทั้งระบบ:

sudo -e /etc/bash.bashrc

ต่อท้ายไฟล์นั้น:

export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"'

ตั้งค่าการบันทึกสำหรับ "local6" ด้วยไฟล์ใหม่:

sudo -e /etc/rsyslog.d/bash.conf

และเนื้อหา ...

local6.*    /var/log/commands.log

รีสตาร์ท rsyslog:

sudo service rsyslog restart

ออกจากระบบ. เข้าสู่ระบบ Voila!

แต่ฉันลืมเกี่ยวกับการหมุนบันทึก:

sudo -e /etc/logrotate.d/rsyslog

มีรายการไฟล์บันทึกการหมุนในลักษณะเดียวกันคือ ...

/var/log/mail.warn
/var/log/mail.err
[...]
/var/log/message

ดังนั้นเพิ่มไฟล์บันทึกคำสั่ง bash-new ในรายการ:

/var/log/commands.log

บันทึก

ระบบบัญชีกระบวนการอาจมีประโยชน์ในเรื่องนี้โดยเฉพาะอย่างยิ่งแพ็กเกจacctที่ให้คำสั่ง lastcomm และ ac

คำสั่ง ac พิมพ์สถิติเกี่ยวกับเวลาการเชื่อมต่อของผู้ใช้เป็นชั่วโมง นี่คือระยะเวลาที่ผู้ใช้เชื่อมต่อกับระบบจากระยะไกลผ่าน SSH หรือเทอร์มินัลอนุกรมหรือขณะอยู่บนคอนโซล

คำสั่ง lastcomm แสดงข้อมูลเกี่ยวกับคำสั่งที่เรียกใช้ก่อนหน้านี้ รายการล่าสุดจะได้รับที่ด้านบนของรายการ ที่แสดงยังเป็นจำนวนเวลา CPU ทั้งหมดที่แต่ละกระบวนการใช้

บทช่วยสอนเก่าที่อาจมีประโยชน์อยู่ที่นี่:

http://www.linuxjournal.com/article/6144?page=0,1

คำสั่งการบัญชีอื่น ๆ เช่นล่าสุดและอื่น ๆ สามารถพบได้ในบทช่วยสอนนี้:

http://www.techrepublic.com/article/system-accounting-in-linux/1053377

คุณสามารถใช้ด้อม

Snoopy logger อาจเหมาะกับวัตถุประสงค์ของคุณเป็นอย่างดี ไม่ได้มีไว้เพื่อเป็นโซลูชันการบันทึกที่ไม่สามารถหลีกเลี่ยงได้ แต่เป็นเครื่องมือที่มีประโยชน์สำหรับผู้ดูแลระบบที่ต้องการติดตามการกระทำของตนเอง

การเปิดเผยข้อมูล: ฉันเป็นผู้ดูแลด้อม

คุณสามารถค้นหาสคริปต์ที่นี่เพื่อบันทึกคำสั่งbash / บิวด์อินทั้งหมดลงในไฟล์ข้อความหรือเซิร์ฟเวอร์syslogโดยไม่ต้องใช้แพตช์หรือเครื่องมือปฏิบัติการพิเศษ

ง่ายมากที่จะปรับใช้มันเป็นสคริปต์เชลล์ง่ายๆที่จะต้องมีการเรียกว่าครั้งหนึ่งในการเริ่มต้นของการทุบตี

มันฟรีและฉันหวังว่ามันจะเหมาะกับความต้องการของคุณ

ในการดูแลหลายเซสชันที่ไม่เขียนทับไฟล์ประวัติคุณจะต้องใส่ "shopt -s histappend" ในไฟล์ Bash startup ดูคำถามนี้เกี่ยวกับปัญหาเดียวกันด้วย

ลองใช้วิธีนี้ (วิธีแก้ปัญหาด้านบนจะไม่ทำงาน 100% กับ bash 4.3):

export HISTTIMEFORMAT="%Y-%m-%d %T "
export PROMPT_COMMAND='trap "" 1 2 15; history -a >(tee -a ~/.bash_history | while read line; do if [[ $line =~ ^#[0-9]*$ ]]; then continue; fi; logger -p user.info -t "bash[$$]" "($USER) $line"; done); trap 1 2 15;'

นี่เป็นการบันทึกและมันป้องกันการบันทึกเวลาที่ใช้สำหรับไฟล์ประวัติทุบตี กับดักจำเป็นเนื่องจาก bash จะส่งสัญญาณไปยัง "subjob" หลังจากกด strg + c หลายครั้ง (ทดสอบด้วย bash 4.3) สิ่งนี้จะบังคับให้ออกจากระบบของผู้ใช้ปัจจุบัน (เช่นเข้าสู่ระบบด้วย sudo)

คุณสามารถลองติดตั้งบัญชี บัญชีตรวจสอบรายละเอียดการตรวจสอบสิ่งที่กำลังทำบนระบบ Linux ของคุณ

sudo apt-get install acct